Implantacin de Gobierno de TI (Tecnologas de la Informacin)

Resumen Ejecutivo.

NDICE 1. INTRODUCCIN ................................................................................................. 3 2. LA NECESIDAD DEL CAMBIO DEL ROL DE TI.............................................................. 5 3. NECESIDAD DE GOBIERNO DE TI........................................................................... 6 4. COBIT Y GOBIERNO DE TI.................................................................................... 8 5. GOBIERNO DE LA ORGANIZACIN Y GOBIERNO DE TI ........................................... 11 6. PROCESO DE IMPLANTACIN DE GOBIERNO TI...................................................... 15

1. INTRODUCCIN
En el pasado, considerar la funcin de TI de una organizacin como una funcin meramente de soporte una funcin separada y diferenciada del resto del negocio- era una prctica comn. Actualmente, la mayor parte de la inversin en infraestructura y nuevas aplicaciones de TI abarcan lneas y funciones del negocio. Algunas organizaciones incluso llegan a integrar a socios y clientes en sus procesos internos. Por consiguiente los CEOs (directores ejecutivos) y los CIOs (directores de TI) cada vez ms sienten la necesidad de aumentar las relaciones entre TI y el negocio. Pero, cmo se puede afrontar este reto estratgico? Las cuestiones clave son: Existe un marco para ayudar a los responsables del negocio y de tecnologa en su esfuerzo por cambiar el rol de TI y reducir la distancia entre TI y el negocio que sta debe soportar y apoyar? Cuales son las responsabilidades a nivel de direccin y gestin? Es sta una cuestin de gobierno?

Un elemento crtico para el xito y la supervivencia de las organizaciones, es la administracin efectiva de la informacin y de las Tecnologas de la Informacin (TI) relacionadas. En esta sociedad global (donde la informacin viaja a travs del ciberespacio sin las restricciones de tiempo, distancia y velocidad) esta criticidad emerge de: La creciente dependencia en informacin y en los sistemas que proporcionan dicha informacin. La creciente vulnerabilidad y un amplio espectro de amenazas, tales como las ciber amenazas y la guerra de informacin.

El coste de las inversiones actuales y futuras en informacin y en tecnologa de informacin.

El potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades y reducir costos.

Para muchas organizaciones, la informacin y la tecnologa que la soporta, representan los activos ms valiosos de la empresa. Es ms, en nuestro competitivo y rpidamente cambiante ambiente actual, la Gerencia ha incrementado sus expectativas relacionadas con la entrega de servicios de TI. Por lo tanto, la gerencia requiere servicios que presenten incrementos en calidad, en funcionalidad y en facilidad de uso, as como una mejora continua y una disminucin de los tiempos de entrega; al tiempo que demanda que esto se realice a un costo ms bajo. Muchas organizaciones reconocen los beneficios potenciales que la tecnologa puede proporcionar. Las organizaciones punteras, sin embargo, tambin comprenden y administran los riesgos asociados con la implementacin de nuevas tecnologas.

2. LA NECESIDAD DEL CAMBIO DEL ROL DE TI

Es necesario un cambio en el rol de TI para extraer el mximo rendimiento a una inversin en TI y usar la tecnologa como un arma competitiva. De esta forma conseguimos que la actitud de TI frente al negocio pase de ser meramente reactiva a ser proactiva, anticipndose a las necesidades de la organizacin. La investigacin de las prcticas de gestin de TI en cientos de compaas en todo el mundo ha revelado que la mayora de las organizaciones no estn optimizando su inversin en TI. El factor diferenciador entre los que lo consiguen y los que no, radica en la participacin de gerencia en las decisiones clave de TI. La correcta participacin de la gerencia en dichas decisiones aportan un valor real a la inversin en TI al tiempo que sirven para evitar desastres relacionados con TI. Se debe diferenciar entre decisiones estratgicas y operacionales, y dichas decisiones deben estar alineadas con los planes estratgicos y operacionales del negocio. Hay numerosos cambios en TI y en la construccin de redes que hacen nfasis en la necesidad de manejar mejor los riesgos relacionados con TI. La dependencia de la informacin electrnica y de los sistemas de TI es esencial para respaldar procesos crticos de negocio. Los negocios exitosos necesitan manejar mejor la compleja tecnologa que predomina en toda sus organizaciones para responder rpida y seguramente a las necesidades del negocio. Adems, el entorno regulador est exigiendo un control ms estricto sobre la informacin. Esto, a su vez, est condicionado por el incremento de la importancia de desastres en los sistemas de informacin y el incremento de fraude electrnico. La gestin de los riesgos relacionados con TI est siendo entendida ahora como una parte clave del gobierno de la empresa.

3. NECESIDAD DE GOBIERNO DE TI
Si TI se va a gestionar como un negocio dentro del negocio, el concepto de gobierno (proceso en el que se ayuda la gerencia para conseguir sus objetivos) es tambin aplicable a la gestin de TI. En muchas organizaciones, TI es fundamental para mantener y hacer que crezca el negocio. Como consecuencia, la gerencia necesita entender la importancia estratgica de TI y debera tener en su agenda el gobierno de TI. El principal objetivo del gobierno de TI es entender las cuestiones y la importancia estratgica de TI para permitir a la organizacin que mantenga sus operaciones e implemente las estrategias necesarias para sus proyectos y actividades futuras. El Gobierno de TI provee las estructuras que unen los procesos de TI, los recursos de TI y la informacin con las estrategias y los objetivos de la empresa. Adems, el Gobierno de TI integra e institucionaliza buenas (o mejores) prcticas de planificacin y organizacin, adquisicin e implementacin, entrega de servicios y soporte, y monitoriza el rendimiento de TI para asegurar que la informacin de la empresa y las tecnologas relacionadas soportan sus objetivos del negocio. El Gobierno de TI conduce a la empresa a tomar total ventaja de su informacin logrando con esto maximizar sus beneficios, capitalizar sus

oportunidades y obtener ventaja competitiva. GOBIERNO DE TI Una estructura de relaciones y procesos para dirigir y controlar la empresa con el objeto de alcanzar los objetivos de la empresa y aadir valor mientras se equilibran los riesgos y el retorno sobre TI y sus procesos. El ncleo de TI consta de dos responsabilidades principales, la entrega de valor al negocio y mitigar los riesgos relacionados con TI. La gerencia de

la organizacin necesita ampliar sus responsabilidades de gobierno a TI y proveer estructuras y procesos que aseguren que las Tecnologas de Informacin son capaces de soportar los objetivos y estrategias de la organizacin. Cada implementacin de gobierno de TI se lleva a cabo en diferentes condiciones y circunstancias (entorno de Gobierno de TI) determinados por factores tales como: tica y cultura de la organizacin y de la industria. Leyes, regulaciones y guas vigentes, tanto internas como externas. Misin, visin y valores de la organizacin. La organizacin de la organizacin de sus roles y

responsabilidades. Intenciones estratgicas y tcticas de la organizacin.

4. COBIT Y GOBIERNO DE TI
Las organizaciones deben cumplir con requerimientos de calidad, fiduciarios y de seguridad, tanto para su informacin, como para sus activos. La gerencia deber adems optimizar el empleo de sus recursos disponibles, los cuales incluyen: personal, instalaciones, tecnologa, sistemas de aplicacin y datos. Para cumplir con esta responsabilidad, as como para alcanzar sus objetivos, la gerencia debe entender el estado de sus propios sistemas de TI y decidir el nivel de seguridad y control que deben proveer estos sistemas. Los Objetivos de Control para la Informacin y las Tecnologas Relacionadas (COBIT), ayudan a satisfacer las mltiples necesidades de la administracin estableciendo un puente entre los riesgos del negocio, los controles necesarios y los aspectos tcnicos. Provee buenas prcticas y presenta actividades en una estructura manejable y lgica. Las Buenas prcticas de COBIT rene el consenso de expertos quienes ayudarn a optimizar la inversin de la informacin y proporcionarn un mecanismo de medicin que permitir juzgar cuando las actividades van por el camino equivocado. La gerencia debe asegurar que los sistemas de control interno o el marco referencial estn funcionando y soportan los procesos del negocio, y debe de ser consciente de cmo cada actividad individual de control satisface los requerimientos de informacin e impacta los recursos de TI. El impacto sobre los recursos de TI son resaltados en el Marco de Referencia de COBIT junto con los requerimientos del negocio que deben ser alcanzados: eficiencia, efectividad, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la informacin. El control, que incluye polticas, estructuras, prcticas y procedimientos organizacionales, es

responsabilidad de la gerencia.

La gerencia, mediante este gobierno corporativo, debe asegurar que todos los individuos involucrados en la administracin, uso, diseo, desarrollo, mantenimiento u operacin de sistemas de informacin acten con la debida diligencia. La orientacin al negocio es el tema principal de COBIT. Est diseado no slo para ser utilizado por usuarios y auditores, sino que, lo ms importante, est diseado para ser utilizado por los propietarios de los procesos de negocio como una gua clara y entendible. Los dueos de los procesos deben ser responsables de todos los aspectos relacionados con dichos procesos de negocio. En particular, esto incluye el proporcionar controles adecuados. El Marco de Referencia de COBIT proporciona, al propietario de procesos de negocio, herramientas que facilitan el cumplimiento de esta responsabilidad. El Marco de Referencia comienza con una premisa simple y prctica: Con el fin de proporcionar la informacin que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser gestionados mediante un conjunto de procesos de TI agrupados de una forma natural. El Marco de Referencia consta de un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios: Planificacin y Organizacin Adquisicin e Implementacin Entrega de servicios Soporte y Monitorizacin. sta estructura cubre todos los aspectos de la informacin y de la tecnologa que la soporta.

Un Objetivo de Control en TI es una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control especficos dentro de una actividad de TI. Administrando adecuadamente estos 34 Objetivos de Control de alto nivel, el propietario de procesos de negocio podr asegurar que se proporciona un sistema de control adecuado para el ambiente de tecnologa de informacin. Por lo tanto, COBIT est diseado para ser la herramienta de gobierno de TI que ayude al entendimiento y a la administracin de los riesgos as como de los beneficios asociados con la informacin y sus tecnologas relacionadas.

5. GOBIERNO DE LA ORGANIZACIN Y GOBIERNO DE TI

Para lograr el xito en esta economa de informacin, el Gobierno de la empresa y el Gobierno de TI no pueden ser consideradas separadamente y en distintas disciplinas. El gobierno efectivo de la empresa enfoca el conocimiento y la experiencia en forma individual y grupal, donde puede ser ms productivo, monitorizado y medido el rendimiento as como provisto el aseguramiento para aspectos crticos. TI, por mucho tiempo considerada aislada dentro del logro de los objetivos de la empresa, debe ahora ser considerada como una parte integral de la estrategia.

Las actividades de la empresa requieren informacin de las actividades de TI con el fin de satisfacer los objetivos del negocio. Organizaciones exitosas aseguran la interdependencia entre su plan estratgico y sus actividades de TI. TI debe estar alineado y debe permitir a la empresa tomar ventaja total de su informacin para maximizar sus beneficios, capitalizar oportunidades y ganar ventaja competitiva.

Para asegurar que la Gerencia alcance los objetivos de negocio, sta debe dirigir y administrar las actividades de TI para alcanzar un balance efectivo entre la gestin de riesgos y los beneficios encontrados. Para cumplir esto, la Gerencia necesita identificar las actividades ms importantes que deben ser desarrolladas, midiendo el progreso hacia el cumplimiento de las metas y determinando lo bien que se estn desarrollando los procesos de TI. Aun ms, necesita tener la habilidad de evaluar el nivel de madurez de la organizacin contra las mejores prcticas industriales y los modelos internacionales. Cmo hacemos para colocar la Tecnologa de Informacin bajo control de modo que brinde la informacin que necesita la organizacin? Cmo gestionamos los riesgos y aseguramos la infraestructura de la que somos tan dependientes?

Como con muchos problemas que enfrenta la gerencia, estas amplias preguntas estratgicas generan las siguientes preguntas tradicionales a las que responderemos: Cul es el aspecto / problema? Cul es la solucin?

Funcionar? Cmo lo hago?

Tal y como se ha comentado anteriormente, una forma de resolver estos problemas ha sido suministrada por el Marco Referencial de COBIT. COBIT significa Objetivos de Control para Informacin y Tecnologa Relacionada, y es estndar abierto para el control de la tecnologa de Informacin, desarrollada y promovida por el Instituto de Gobierno de TI. La gerencia est buscando constantemente informacin condensada y oportuna para tomar decisiones difciles sobre riesgo y control de manera rpida y exitosa. Una necesidad bsica para toda organizacin es entender la situacin de sus propios sistemas de TI y decidir qu seguridad y control se les debe suministrar. Ningn aspecto de este problemaentender el nivel de control requerido y decidir sobre el mismoes directo. Obtener una visin objetiva del propio nivel de una organizacin no es fcil. Qu se debe medir y cmo? Adems de la necesidad de medir dnde se encuentra una organizacin, est la importancia de la constante mejora en las reas de seguridad y control de TI, y la necesidad de un conjunto de herramientas de administracin para monitorizar esta mejora. Decidir cul es el nivel correcto es igualmente difcil. A los gerentes generales de las organizaciones corporativas y pblicas se les pide con frecuencia que consideren un caso de negocio para que el gasto mejore el control y la seguridad de la infraestructura de informacin. Aunque pocos

argumentaran que esto no es bueno, todos deben ocasionalmente preguntarse: Hasta dnde debemos ir, y, justifica el coste el beneficio? Cules son los indicadores de un buen rendimiento? (Rendimiento)

Cules son los riesgos de no alcanzar nuestros objetivos? (Concienciacin) Qu hacen los dems? Cmo medimos y comparamos? (Benchmarking)

6. PROCESO DE IMPLANTACIN DE GOBIERNO TI

El proceso de implantacin de gobierno de TI asiste a los diferentes niveles de la organizacin con una detallada hoja de ruta que le ayuda en la implementacin de sus necesidades de Gobierno TI usando COBIT. Identifica qu componentes de COBIT deben ser mejorados desde las necesidades iniciales hasta la implantacin de la solucin. La hoja de ruta presenta un proyecto que puede ser largo y que requiere prcticas estrictas de gestin de proyectos.

Dicha hoja de ruta es un primer paso para implantar los requerimientos de gobierno de TI. Las fases del proceso de implantacin de gobierno de TI en una organizacin son: 1.- Identificar necesidades. Los siguientes cuatro pasos son necesarios en la fase inicial de un proyecto de implantacin de Gobierno de TI: a) Entender en entorno en el que se va a desarrollar el proceso de implantacin de gobierno de TI y establecer un proyecto adecuado.

b) Entender los objetivos de negocio y cmo trasladarlos a objetivos de TI. c) Entender los riesgos potenciales y la forma en la que estos pueden afectar a los objetivos de TI. d) Definir el alcance del proyecto y qu procesos deben ser implantados o mejorados. 2.- Anlisis de la solucin. Esta fase prev la solucin y est compuesta de tres pasos. Se debe fijar el estado de madurez actual de los procesos de TI seleccionados y el estado de madurez objetivo en el que se desea que estn tras implantar la solucin. El anlisis de la distancia entre la situacin actual y la situacin en la que se desea estar se convierte en oportunidades de mejora. 3.- Planificacin de la solucin. En esta fase se identifican iniciativas de mejora factibles y las traslada a proyectos justificados. Tras su aprobacin, dichos proyectos deben ser integrados en la estrategia de mejora con un plan detallado para alcanzar la solucin. 4.- Implementar la solucin. Conforme los proyectos van avanzando, el resultado del mismo debe ser monitorizado y dichos resultados deben servir para tomar decisiones acerca de las siguientes iteraciones sobre cada uno de los procesos que se han implantado. Gobierno de TI es una metodologa, no es la solucin en s.

NETWORK-SEC C/ Xtiva 4-izquierda 6 46002 Valencia Tlf: 963 520 667 Fax: 963 940 182 e-mail: network-sec@network-sec.com www.network-sec.com